mod_ctr или можно обойтись просто rewrite ?

Igor Sysoev is at rambler-co.ru
Mon May 8 10:10:09 MSD 2006


On Mon, 8 May 2006, Alex Tutubalin wrote:

>>> Так как URL-и мы в данном месте получаем снаружи, то для
>>> редиректора мы их на всякий случай эскейпим целиком (а не только
>>> http://host).
>>> И, соответственно, хочется целиком их разворачивать.
>>
>> Делать unescape всего и вся нельзя. Сейчас nginx раскрывает только символы
>> в пределах 0x26 - 0x7E, остальные не трогает. Сделано это прежде всего
>> для запрещения XSS, когда в URL вставляют %0D и %0A.
>
> Я, честно говоря, не есть понимай. Ну, допустим, мне в редиректор
> снаружи нальют таких символов. Я сделаю редирект куда-то. Ну
> и что ?

Некто ставит ссылку на хорошо известный сайт, назовём его example.com,
у которого есть редиректор /click, в таком виде:

http://example.com/click?url=%0D%0A%0D%0A<javascript>тра-ля-ля...

Пользователь тыкает во вроде бы безопасную ссылку и все куки пользователя
для example.com попадают в javascript. Ну и вообще, от имени example.com
можно делать пользователю всякие странные предложения.

>> Я склоняюсь к мысли, что нужно раскрывать в переделах 0x21-%7E вместе
>> с query strting. %25 при этом будет превращатся в '%'.
> Да, вполне нормально.
> Вообще, я бы не эскейпил ничего в url=, но кое-кто кушает второй
> slash и в аргументах запроса (url=http:// превращается в url=http:/)
> и от этого происходит порча.  Не понимаю зачем кушать второй / там
> (до знака вопроса - понимаю).

В аргументах ничего кушаться не должно.

> Свою проблему я, собственно, порешал через perl_set.
> Кстати, а почему perl_set - server-context? Мне не жалко, конечно,
> выполнить 3 строчки перла на каждый запрос, но хватило бы и
> location-context

Все переменные задаются на уровне http. Но nginx - не Апач, переменные
вычисляются только on demand, и перл будет выполняться только в том
location'е, где это действительно нужно: http://sysoev.ru/#07.01.2006


Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list